|
Hinweise zu Ad/Malware Threads (bitte offen lassen)
(https://www.trojaner-board.de/196393-hinweise-ad-malware-threads-bitte-offen-lassen.html)
Hinweise zu Ad/Malware Threads (bitte offen lassen) Da mein erster Thread https://www.trojaner-board.de/196220-hinweise-ad-malware-threads.html geschlossen wurde :kloppen: und mir geraten wurde einen Neuen zu eröffnen, mache ich dies hiermit. In der Hoffnung, dass dieser offen bleibt und vielleicht auch nicht so sehr offtopic wird ;) Zum Thema: Zum Thread https://www.trojaner-board.de/196392-programm-ohne-namen-zeichenfolgen-verhindern-herunterfahren.html Das scheint an Adobe Creative Cloud zu liegen, da gibts in letzter Zeit einige Meldungen dazu https://community.kaspersky.com/kaspersky-internet-security-13/strange-coresync-application-prevents-shutdown-3249 https://linustechtips.com/main/topic/1100301-idk-whats-going-on/ https://forums.adobe.com/thread/2650942 hier auch mit möglicher Lösung https://forums.adobe.com/message/11247870#11247870 Das soll wie gesagt nur ein Hinweis sein, und ich will in keiner Weise damit verhindern, dass nicht die üblichen "Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?" Standards wie Systemscan mit FRST usw. nicht gemacht werden sollten |
Danke erneut für deinen Hinweis. Der TO scheint aber zunächst mal eine Analyse zu wünschen. Und dann sehen wir weiter. |
Gern geschehen. Klar, Analyse ist auf jeden Fall wichtig :daumenhoc BTW: ist es irgendwie möglich mit die per PN zu schreiben? oder lehnst du das generell ab? Ich wollte manche Dinge vorerst nicht öffentlich posten. (später vielleicht schon) |
PNs hab ich nicht so gerne. Schreib es doch einfach hier rein. |
werde ich machen, wenns an der Zeit ist. Wie gesagt, wollte ich mich vorher nicht öffentlich austauschen. Cosinus schrieb hier: https://www.trojaner-board.de/196220-hinweise-ad-malware-threads-2.html#post1721870 Zitat:
https://www.virustotal.com/gui/file/7fee2f8a3ded3b5e50dcb7128c0222cee0a8b285dfe201b2c08e58f8c93608ad/detection leider erkennt kein AV Programm diesen Schrott und unter Details->Signers sieht man den bekannten Namen. Habe ich mal installiert und sah zunächst unter AppData\Roaming\GIMP Updater\Updater.exe https://www.virustotal.com/gui/file/d601ee6fa1181d90a54ae17c0b3472c85ccef209a216efef4ee630ef917cd379/detection Es öffnet sich dann die bekannte Seite /download_ok.php Nach einem Rechnerneustart wird wahrscheinlich etwas entpackt (schwarzes Konsolenfenster ging kurz auf) Danach 3 Dateien in dem Ordner gimp.ico uninst.exe Updater.exe (gleicher hash wie vorherige Updater.exe) die unsinst.exe https://www.virustotal.com/gui/file/461e2589605377fc6d67d0db2a0a61284ae8ce5343194c9d111b3de4c6f1bfb6/detection Ich habe noch alles auf dem Rechner in der VM falls weitere Angaben erwünscht sind. Eine Veränderung beim Start von Browsern oder bei der Suche ist mir nicht aufgefallen. (obwohl ich zusätzlich noch viel anderen Mist da installiert habe):pfeiff: |
Leider gibt es einiges extrem Schädliches, was sich Nutzer durch Software installieren und was von keinem AV Programm erkannt wird. Teilweise sind es auch Dateien, die großen Schaden anrichten können, aber an sich legale Dateien sind und somit auch nicht erkannt werden. Meist fängt man sich solche Dinger ein durch Downloads wie zb. bei Chip.de durch den Installer ein, wenn man dort die Sponsored "Angebote" nicht explizit verweigert. Ich will mal konkret werden: Ich installiere zb. so etwas (versehentlich) mit. Im besten Fall merke ich es, weil ich in zb. Firefox eine Erweiterung habe, die vorher nicht da war. (Es muss aber gar nicht unbedingt eine Erweiterung installiert worden sein) Nun könnte man meinen, ok, dann deinstalliere ich eben das Programm wieder und lösche die Erweiterung über about:addons. Leider weit gefehlt. Bei der Installation wird nämlich der Selbstschutz von Firefox ausgehebelt (evtl. auch andere Browser, aber das habe ich nicht genauer untersucht) und genau das ist das Problem. Die interne blocklist URL wird geändert, sodass von mozilla geblockte Erweiterungen weiterhin ausgeführt werden. Auch so Sachen wie Telemetrie werden an falsche Server geschickt. Dies geschieht durch kurzfristige angelegte user.js oder eine Invalidprefs.js, die die prefs.js ändert und somit die Werte in about:config ändert. Diese js. Dateien sind ganz normale gültige Dateien und somit werden sie auch nie als schädlich eingestuft werden. (Ich nutze selbst eine user.js, allerdings habe ich diese selbst händisch angelegt und weiß was ich mache) Fazit: bei jedem Ad/Malware Befall würde ich dazu raten, danach seine Lesezeichen zu sichern und dann sowohl den Browser komplett zu deinstallieren Danach nachsehen ob auch in C:\Program Files C:\Program Files (x86) der Ordner "Mozilla Firefox" völlig weg ist Danach C:\Users\xxx\AppData\Roaming komplett den Ordner "Mozilla" löschen C:\Users\xxx\AppData\Local komplett den Ordner "Mozilla" löschen (xxx steht für den Benutzernamen) Auch %temp% zu löschen wäre anzuraten. Nachtrag: übrigens, warum ich in solchen Fällen nicht empfehle "nur" Firefox zurück zu setzen sondern wirklich alles zu löschen ist, dass oberhalb des Profilverzeichnises durchaus auch Daten sein können, welche weiterhin nachgeladen werden können. |
@Citro Würde es auch ausreichen, wenn ich eines meiner vielen mit MozBackup erstellten Firefox Backup einspiele? |
NEIN! siehe auch meinen Nachtrag. Außerdem ist MozBackup heillos veraltet und die Entwicklung wurde eingestellt. Wenn man Profile sichert, dann händisch. Ich erstelle einfach immer ein Zip vom Profilordner Ist ja nicht so schwer einfach die Win Taste zu drücken %appdata%\Mozilla\Firefox\ eingeben und nen .zip zu erstellen (mit Datum versehen) |
Zitat:
Es geht doch darum, dass man nicht nur das Profil löscht und neu macht (oder eben aus einem Backup wiederherstellt) sondern eben auch, das Programmverzeichnis vom Firefox zu löschen und den Firefox dann neu zu installieren. |
Zitat:
|
Danke, das wollte ich nur wissen, dann müsste ich also Firefox mit Geek Uninstaller deinstallieren, danach noch vorhandene Ordner von Firefox und Mozilla löschen, danach Firefox neu installieren und dann ein Backup mit MozBackup einspielen. Übrigens: auch wenn MozBackup veraltet ist und nicht mehr weiterentwickelt wird, es funktioniert immernoch problemlos, damit Firefox Profile als Backup zu erstellen und diese einzuspielen. |
Zu https://www.trojaner-board.de/196986-norton-zeigt-trojaner-bitcoin-miner-angriff-speicherplatz-verschwindet-hoher-datenverkehr.html#post1725888 Unabhängig vom Rat von Win7 auf Win10 zu wechseln: man sehe sich mal die hosts Datei an :daumenrunter: |
Ob sein "ziemlich wichtiges Projekt" wohl mit einem gecrackten Adobe-Produkt zu tun hat? Kein Wunder dass der TO kein Windows 10 installieren will. Da müsste man ja alles neu cracken. |
Zitat:
|
bezüglich https://www.trojaner-board.de/197402-weiterleitung-http-pointclouds-org-andere-seite-trojaner.html#post1728226 ist das gleiche wie https://www.trojaner-board.de/195227-klick-suchergebnis-oeffnet-ploetzlich-nur-einmal-omnioesen-spam-link.html#post1714137 und ich kann es auch reproduzieren wenn ich erstmalig von google ausgehend https://www.google.de/search?q=pointclouds.org oder https://www.google.de/search?q=knorkator.de auf das Suchergebnis klicke. Die Frage ist nur: kommt das von google oder von der Webseite, die man von google aus ansurft? Klappt übrigens nur die ersten Male, bis man wieder eine neue IP hat (und evtl. auch Cookies usw. gelöscht hat?) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board